不关闭高危端口防止黑客入侵_防火墙关闭高危端口

hacker|
224

文章目录:

如何防止电脑被别人入侵?

系统不要使用网上下载未经杀毒或者认证的的系统,或者盗版系统(一般一些网上常见的系统下载网站,最好下载之后使用各种杀毒软件进行扫描,清除插件再使用。具我所知,网上下载的一个系统几乎全带了插件,有个别过分的还有木马,虽然大部分没有大的病毒和传播性强的病毒。插件都是好多个)

2

登录用户尽量一定要设密码(系统默认是没有密码的,尽量加个新密码)在控制面板里把密码给修改掉。同时把Guest用户给禁止旧。或者在我的电脑上右键管理调出计算机管理依次找到 计算机管理(本地)系统工具本地用户和组用户,然后在窗口的右边进行相应用户的修改密码和禁止相应的用户组(如下图)。

请点击输入图片描述

3

关闭操作系统的远程访问功能

默认是不会开启操作系统的远程访问功能的。但是一些服务器和个人电脑需要远程控制时才会开启,这时需要注意了。必要时要修改相应的远程访问端口。不过特殊的需求还是尽量关闭。

设置方法:在我的电脑图标上右键属性,调出系统属性窗口。依次找到远程选项卡,把远程协助里的“启用远程协助并允许从这台计算机发送邀请(R)”和“启用这台计算机上的远程桌面(E)”这两项前面的复选框不要选中,然后确定,即可。

(关闭已经开启的计算机远程桌面)

请点击输入图片描述

4

关闭硬盘共享关闭一些硬盘的共享文件。默认这些硬盘和文件是共享的。建议还是关掉。

设置方法:在我的电脑图标上右键调出计算机管理,然后依次找到计算机管理(本地)系统工具共享文件夹共享。这时就能在右键窗口里看到默认的硬盘共享。

然后在这些已经共享的文件和共享。在相应的共享文件上右键进行相应的停止共享操作。IPC$不能停止(如下图)。

(关闭系统默认的硬盘共享)

请点击输入图片描述

5

打上操作系统补丁windows操作系统的系统补丁或者一些第三方软件的软件补丁,如果有必要还是打上。(虽然作用不是很大。如果是网站服务器还是打上为好,如果是个人用户的话,可以选择打还是不打)

6

关闭不使用的默认端口号和危险端口号

7

把一些完全没必要de服务关掉比如server、ipc、system restore service等等服务具体可以根据自己的电脑进行相关的设置。

设置:我的电脑图标上右键管理依次找到计算机管理(本地)/服务和应用程序/服务然后在右侧找到相应的服务项,禁止启动即可。或者开始程序管理工具服务(右击我de计算机管理),一样的方法关闭一些服务。

说明一点,有很多病毒木马什么的。会注册成服务项,需要看一下服务的描述,如果不认识的话,可以在本站进入查询服务的作用。至少本人就碰到过这种。

(计算机管理 服务)

请点击输入图片描述

8

开启系统自带的防火墙虽然系统自带的防火墙功能没啥太大的作用,但是还是开启有些用的。

9

防中马方法在开始控制面板里的添加和程序中把windows的安装程序把附件里的dewindows scripting host去掉把一些相应加载程序都直接关闭,这样可能影响一些网页de动态java等js效果,这样可以防止一些恶意病毒和网页炸弹。

如何防止黑客攻击?

一、Win xp sp2注册表怎样设置防止DDos攻击

找到HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services,在其下的有个SynAttackProtect键值。默认为0将其修改为1可更有效地防御SYN攻击。

小提示:该参数可使TCP调整SYN-ACKS的重新传输。将SynAttackProtect设置为1时,如果系统检测到存在SYN攻击,连接响应的超时时间将更短。

第三步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnableDeadGWDetect键值,将其修改为0。该设置将禁止SYN攻击服务器后强迫服务器修改网关从而使服务暂停。

第四步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下EnablePMTUDiscovery键值,将其修改为0。这样可以限定攻击者的MTU大小,降低服务器总体负荷。

第五步:将HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Services下KeepAliveTime设置为300,000。将NoNameReleaseOnDemand

设置为1。

(2)WIN2000下拒绝访问攻击的防范:

在WIN2000下拒绝访问攻击的防范方法和2003基本相似,只是在设置数值上有些区别。我们做下简单介绍。

第一步:将SynAttackProtect设置为2。

第二步:将EnableDeadGWDetect设置为0。

第三步:将EnablePMTUDiscovery设置为0。

第四步:将KeepAliveTime设置为300000。

第五步:将NoNameReleaseOnDemand设置为1。

二、阻止对Windows注册表的远程访问

注册表是Windows操作系统的核心。但是在缺省情况下,所有基于Windows的计算机的注册表在网络上都是可以被访问到。了解这一点的黑客完全可以利用这个安全漏洞来对你的公司的计算机系统进行攻击,并修改文件关系,并允许插入恶意代码。为了保护你的网络,你需要禁止对注册表的远程访问。

解决方案

你轻而易举地可以通过修改网络访问清单来达到这一目标。根据你网络的复杂程度,你可能需要考虑禁止对注册表的远程访问。

注意

编辑注册表可能会有风险,所以必须要在开始之前确保你已经对注册表进行了备份。

修改注册表

对于使用Windows 2000、Windows XP、和Windows Server 2003系统的计算机,采取如下步骤:

1、点击“开始”菜单,选择“运行”。

2、输入“Regedt32.exe”,然后点击“OK”。

3、选择“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers”。

4、如果winreg键已经存在,跳到步骤8。如果该键不存在,点击“编辑”菜单,选择“添加”。

5、把该键命名为“winreg”,类别设定为REG_SZ。

6、选择这个新创建的键,然后点击“编辑”菜单,选择“增加值“。

7、进行如下输入:

名称: Description

类型: REG_SZ

值: Registry Server

8、选择winreg键,进入安全 | 许可 。

9、确保本地系统管理员组(System Administrators Group)拥有全部的访问权,把只读权限开放给系统帐户(System account)和所有人组(Everyone group)。

10、关闭注册表编辑器,重新启动计算机。

如果你为工作站或者服务器支持设定了特殊的组,而这些组的成员又不是管理员,你就应该也为他们设定合适的权限。

而且,如果你面对的机器是一台服务器或者是一台为特殊用户提供远程服务的计算机,你就必须允许有权使用服务的帐户对相关内容有只读的权限。

调整网络

注册表修改能够保护你内部网络需要经过授权才能访问,但是你还需要保护注册表不受外部的来自互联网的访问。利用注册表的安全漏洞对Windows系统进行攻击仍然非常普遍,所以你需要保证你的安全策略已经很好地解决了这些安全漏洞。

在前端的路由器或者防火墙上禁用TCP/UDP端口135、137、138、139和455是一个不错的解决方法。禁用这些端口不仅仅是能够阻止远程访问注册表,这样做还能够阻止大部分针对Windows系统的远程攻击。

关闭这些端口迅速提高你的Windows网络的安全性,在没有禁用这些端口之前,你需要确认是否有商业的原因需要保持这些端口的开放。

这些是你所能够关闭的、运行Windows 2000、Windows XP和Windows Server 2003系统上的远程注册表服务(Remote Registry),这对于企业来说,永远是一个非常有帮助的、实用的方法

黑客入侵服务器断口,怎么解决,不想关闭端口

如果是必须开的服务端口的话,就用防火墙过滤,现在很多防火墙都可以端口以及连接过滤。

如果不是必须的话,就用组策略里关闭端口就可以了。

怎么关闭端口防止黑客入侵?

Windows中如何手动关闭端口和阻止非法入侵

我们一般采用一些功能强大的反黑软件和防火墙来保证我们的系统安全,但是有些用户不具备上述条件。怎么办呢?下面就介绍一种简易的办法——通过限制端口来帮助大家防止非法入侵。

非法入侵的方式

简单说来,非法入侵的方式可粗略分为4种:

1、扫描端口,通过已知的系统Bug攻入主机。

2、种植木马,利用木马开辟的后门进入主机。

3、采用数据溢出的手段,迫使主机提供后门进入主机。

4、利用某些软件设计的漏洞,直接或间接控制主机。

非法入侵的主要方式是前两种,尤其是利用一些流行的黑客工具,通过第一种方式攻击主机的情况最多、也最普遍;而对后两种方式来说,只有一些手段高超的黑客才利用,波及面并不广泛,而且只要这两种问题一出现,软件服务商很快就会提供补丁,及时修复系统。

因此,如果能限制前两种非法入侵方式,就能有效防止利用黑客工具的非法入侵。而且前两种非法入侵方式有一个共同点,就是通过端口进入主机。

端口就像一所房子(服务器)的几个门一样,不同的门通向不同的房间(服务器提供的不同服务)。我们常用的FTP默认端口为21,而WWW网页一般默认端口是80。但是有些马虎的网络管理员常常打开一些容易被侵入的端口服务,比如139等;还有一些木马程序,比如冰河、BO、广外等都是自动开辟一个您不察觉的端口。那么,只要我们把自己用不到的端口全部封锁起来,不就杜绝了这两种非法入侵吗?

限制端口的方法

对于个人用户来说,您可以限制所有的端口,因为您根本不必让您的机器对外提供任何服务;而对于对外提供网络服务的服务器,我们需把必须利用的端口(比如WWW端口80、FTP端口21、邮件服务端口25、110等)开放,其他的端口则全部关闭。

这里,对于采用Windows2000/XP/2003的用户来说,不需要安装任何其他软件,可以利用"修改组策略"或"TCP/IP筛选功能"限制服务器的端口。具体设置如下:

第一种方法——“修改组策略”:

第一步,在“运行”输入gpedit.msc,回车打开“组策略”,在组策略中的windows设置-安全设置中选中“IP 安全策略,在本地计算机”,在右边窗格的空白位置右击鼠标,弹出快捷菜单,选择“创建 IP 安全策略”,于是弹出一个向导。在向导中点击“下一步”按钮,为新的安全策略命名;再按“下一步”,则显示“安全通信请求”画面,在画面上把“激活默认相应规则”左边的钩去掉,点击“完成”按钮就创建了一个新的IP 安全策略。

第二步,右击该IP安全策略,在“属性”对话框中,把“使用添加向导”左边的钩去掉,然后单击“添加”按钮添加新的规则,随后弹出“新规则属性”对话框,在画面上点击“添加”按钮,弹出IP筛选器列表窗口;在列表中,首先把“使用添加向导”左边的钩去掉,然后再点击右边的“添加”按钮添加新的筛选器。

第三步,进入“筛选器属性”对话框,首先看到的是寻址,源地址选“任何 IP 地址”,目标地址选“我的 IP 地址”;点击“协议”选项卡,在“选择协议类型”的下拉列表中选择“TCP”,然后在“到此端口”下的文本框中输入“135”,点击“确定”按钮,这样就添加了一个屏蔽 TCP 135(RPC)端口的筛选器,它可以防止外界通过135端口连上你的电脑。

点击“确定”后回到筛选器列表的对话框,可以看到已经添加了一条策略,重复以上步骤继续添加 TCP 137、139、445、593 端口和 UDP 135、139、445 端口,为它们建立相应的筛选器。

重复以上步骤添加TCP 1025、2745、3127、6129、3389 端口的屏蔽策略,建立好上述端口的筛选器,最后点击“确定”按钮。

第四步,在“新规则属性”对话框中,选择“新 IP 筛选器列表”,然后点击其左边的圆圈上加一个点,表示已经激活,最后点击“筛选器操作”选项卡。在“筛选器操作”选项卡中,把“使用添加向导”左边的钩去掉,点击“添加”按钮,添加“阻止”操作:在“新筛选器操作属性”的“安全措施”选项卡中,选择“阻止”,然后点击“确定”按钮。

第五步,进入“新规则属性”对话框,点击“新筛选器操作”,其左边的圆圈会加了一个点,表示已经激活,点击“关闭”按钮,关闭对话框;最后回到“新IP安全策略属性”对话框,在“新的IP筛选器列表”左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。

于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。

第二种方法——"TCP/IP筛选功能":

1、右键点击“网上邻居”,选择“属性”,然后双击“本地连接”(如果是拨号上网用户,选择“我的连接”图标),弹出“本地连接状态”对话框。

2、点击[属性]按钮,弹出“本地连接属性”,选择“此连接使用下列项目”中的“Internet协议(TCP/IP)”,然后点击[属性]按钮。

3、在弹出的“Internet协议(TCP/IP)”对话框中点击[高级]按钮。在弹出的“高级TCP/IP设置”中,选择“选项”标签,选中“TCP/IP筛选”,然后点击[属性]按钮。

4、在弹出的“TCP/IP筛选”对话框里选择“启用TCP/IP筛选”的复选框,然后把左边“TCP端口”上的“只允许”选上(请见附图)。

这样,您就可以来自己添加或删除您的TCP或UDP或IP的各种端口了。

添加或者删除完毕,重新启动机器以后,您的服务器就被保护起来了。

如果只上网浏览的话,可以不添加任何端口。但是要利用一些网络联络工具,比如OICQ的话,就要把“4000”这个端口打开,同理,如果发现某个常用的网络工具不能起作用的时候,请搞清它在您主机所开的端口,然后在“TCP/IP筛选”中添加端口即可。

为了让你的系统变为铜墙铁壁,应该封闭这些端口,主要有:TCP 135、139、445、593、1025 端口和 UDP 135、137、138、445 端口,一些流行病毒的后门端口(如 TCP 2745、3127、6129 端口),以及远程服务访问端口3389。

另外每一项服务都对应相应的端口,比如众如周知的WWW服务的端口是80,smtp是25,ftp是21,win2000/XP/2003安装中默认的都是这些服务开启的。对于个人用户来说确实没有必要,可关闭无用的服务。“控制面板”的“管理工具”中的“服务”中来配置。

1、7.9等等端口:关闭SimpleTCP/IPService,支持以下TCP/IP服务:CharacterGenerator,Daytime,Discard,Echo,以及QuoteoftheDay。

2、80口:关掉WWW服务。在“服务”中显示名称为"WorldWideWebPublishingService",通过Internet信息服务的管理单元提供Web连接和管理。

3、25端口:关闭SimpleMailTransportProtocol(SMTP)服务,它提供的功能是跨网传送电子邮件。

4、21端口:关闭FTPPublishingService,它提供的服务是通过Internet信息服务的管理单元提供FTP连接和管理。

5、23端口:关闭Telnet服务,它允许远程用户登录到系统并且使用命令行运i行控制台程序。

6、还有一个很重要的就是关闭server服务,此服务提供RPC支持、文件、打印以及命名管道共享。关掉它就关掉了win2k/XP/2003的默认共享,比如ipc$、c$、admin$等等,此服务关闭不影响您的共他操作。

7、还有一个就是139端口,它是NetBIOSSession端口,用来文件和打印共享,注意的是运行samba的unix机器也开放了139端口,功能一样。以前流光2000用来判断对方主机类型不太准确,估计就是139端口开放即认为是NT机,现在好了。关闭139端口方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性,进入“高级TCP/IP设置”“WINS设置”里面有一项“禁用TCP/IP的NETBIOS”,打勾就关闭了139端口。对于个人用户来说,可以在各项服务属性设置中设为“禁用”,以免下次重启服务也重新启动。

其次,家用电脑,没重要秘密,没必要弄的这么麻烦。就算你把开设的端口打开,在你电脑里,的病毒,木马,也会二次打开有时候一个杀毒软件,就能解决很多问题

5条大神的评论

  • avatar
    访客 2022-07-01 上午 11:24:16

    册成服务项,需要看一下服务的描述,如果不认识的话,可以在本站进入查询服务的作用。至少本人就碰到过这种。(计算机管理 服务)请点击输入图片描述8开启系统自带的防火墙虽然系统自带的防火墙功能没啥太大的作用,但是还是开启有些用的。9防中马方法在开始控制面板里的添加和程序中把w

  • avatar
    访客 2022-07-01 下午 04:45:07

    上常见的系统下载网站,最好下载之后使用各种杀毒软件进行扫描,清除插件再使用。具我所知,网上下载的一个系统几乎全带了插件,有个别过分的还有木马,虽然大部分没有大的病毒和传播性强的病毒。插件都是好多个)2登录用户尽量一定要设密码(系统

  • avatar
    访客 2022-07-01 下午 05:15:28

    ,跳到步骤8。如果该键不存在,点击“编辑”菜单,选择“添加”。 5、把该键命名为“winreg”,类别设定为REG_SZ。 6、选择这个新创建的键,然后点击“编辑”菜单,选择“增加值“。 7、进行如下输入: 名称: Description 类型: REG_SZ 值: Registry

  • avatar
    访客 2022-07-01 上午 08:25:51

    s XP、和Windows Server 2003系统的计算机,采取如下步骤: 1、点击“开始”菜单,选择“运行”。 2、输入“Regedt32.exe”,然后点击“OK”。 3、选择“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControl

  • avatar
    访客 2022-07-01 下午 01:52:06

    左边打钩,按“确定”按钮关闭对话框。在“本地安全策略”窗口,用鼠标右击新添加的 IP 安全策略,然后选择“指派”。 于是重新启动后,电脑中上述网络端口就被关闭了,病毒和黑客再也不能连上这些端口,从而保护了你的电脑。 第二种方法——"TCP/IP

发表评论